Tanda tangan dicuri? Mengungkap penipuan pancingan tanda tangan Permit2 DEX tertentu

Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi pihak proyek, kode sumber terbuka meningkatkan risiko keamanan; bagi pengguna individu, setiap interaksi di blockchain dapat membawa risiko pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi prioritas utama di dunia kripto.

Baru-baru ini, seorang peneliti menemukan metode phishing baru, yang hanya memerlukan tanda tangan yang dapat menyebabkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dihindari, dan alamat yang pernah menggunakan DEX tertentu mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini untuk membantu semua orang menghindari kerugian aset lebih lanjut.

Kronologi Peristiwa

Seorang pengguna (, kecil A ), mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, kecil A tidak membocorkan kunci pribadi atau berinteraksi dengan situs phishing. Melalui penjelajah blockchain, dapat dilihat bahwa USDT kecil A dipindahkan melalui fungsi Transfer From, yang berarti bahwa aset dipindahkan oleh pihak ketiga, bukan karena bocornya kunci pribadi.

Pencarian lebih lanjut menemukan:

• Sebuah alamat (fd51) telah memindahkan aset kecil A ke alamat lain (a0c8)
• Operasi ini berinteraksi dengan kontrak Permit2 dari DEX tertentu

Masalah kunci adalah: bagaimana alamat fd51 mendapatkan hak aset? Mengapa terkait dengan DEX tertentu?

Analisis catatan interaksi alamat fd51, ditemukan bahwa sebelum memindahkan aset kecil A, alamat tersebut melakukan operasi Permit, dan kedua objek interaksi tersebut adalah kontrak Permit2 dari DEX tertentu.

Analisis Kontrak Permit2

Permit2 dari suatu DEX adalah kontrak persetujuan token yang memungkinkan berbagi dan mengelola otorisasi antar aplikasi yang berbeda, bertujuan untuk memberikan pengalaman pengguna yang lebih terintegrasi, efisien, dan aman. Di masa depan, dengan meningkatnya tingkat integrasi, Permit2 diharapkan dapat mewujudkan otorisasi token yang terstandarisasi antar aplikasi.

Keunggulan utama Permit2 adalah: pengguna hanya perlu memberikan otorisasi sekali kepada kontrak Permit2, semua aplikasi yang mengintegrasikan kontrak tersebut dapat berbagi kuota otorisasi. Ini sangat mengurangi biaya interaksi pengguna dan meningkatkan pengalaman. Namun, ini juga bisa menjadi pedang bermata dua.

Dalam cara interaksi tradisional, otorisasi dan transfer dana adalah operasi on-chain pengguna. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, dengan operasi on-chain diselesaikan oleh pihak ketiga ( seperti kontrak Permit2 atau proyek terintegrasi ). Ini memungkinkan pengguna untuk membayar gas atau menyelesaikan transaksi tanpa harus memiliki ETH.

Namun, tanda tangan di luar rantai justru adalah langkah yang paling mudah diabaikan oleh pengguna. Sebagian besar orang tidak akan memeriksa dengan cermat konten tanda tangan, dan inilah yang paling berbahaya.

Pengulangan Teknik Memancing

Prasyarat kunci dari teknik phishing ini adalah: dompet yang dipancing harus sudah memberikan otorisasi token kepada kontrak Permit2. Saat ini, hanya dengan menggunakan aplikasi yang mengintegrasikan Permit2 atau di DEX tertentu untuk Swap, akan diminta otorisasi kepada Permit2.

Lebih buruk lagi, tidak peduli berapa jumlah Swap, Permit2 dari DEX tertentu akan secara default meminta otorisasi untuk seluruh saldo. Meskipun dompet akan memberi tahu jumlah yang disesuaikan, kebanyakan pengguna akan langsung memilih nilai maksimum atau nilai default.

Ini berarti, selama berinteraksi dengan DEX tertentu dan memberikan izin kepada Permit2 setelah tahun 2023, Anda mungkin terpapar risiko phishing ini.

Prinsip inti adalah menggunakan fungsi Permit, melalui tanda tangan pengguna untuk mengalihkan kuota token yang diberikan kepada Permit2 ke alamat lain. Hacker hanya perlu mendapatkan tanda tangan, dan mereka dapat mengalihkan aset pengguna.

Saran Pencegahan

1. Memahami dan mengidentifikasi konten tanda tangan: Pelajari cara mengenali format tanda tangan Permit, gunakan plugin keamanan untuk membantu.

2. Memisahkan penyimpanan aset dan dompet interaksi: Aset besar disimpan di dompet dingin, dompet interaksi dengan jumlah dana yang sedikit.

3. Mengontrol batas otorisasi Permit2: hanya memberikan otorisasi untuk jumlah yang diperlukan, atau membatalkan otorisasi yang berlebihan.

4. Memahami apakah token mendukung fungsi permit: Harus sangat berhati-hati dalam perdagangan token yang didukung.

5. Menyusun rencana darurat: Jika ditemukan pencurian, perlu untuk dengan cepat dan aman memindahkan aset di platform lain.

Seiring dengan meluasnya penggunaan Permit2, kemungkinan serangan phishing yang berbasis ini akan meningkat. Metode phishing dengan tanda tangan ini sulit untuk dideteksi dan dicegah, sehingga alamat yang terpapar risiko juga akan semakin banyak. Semoga pembaca dapat menyebarkan artikel ini, untuk membantu lebih banyak orang menghindari risiko pencurian.